Was ist Cloud-Sicherheit?

Es ist noch gar nicht so lange her, da diskutierten Unternehmen über den Mehrwert von Cloud-Angeboten. Die Unternehmen waren besorgt, ob der Kompromiss bei der Datenkontrolle den Mehrwert, die Skalierbarkeit und die Flexibilität von Cloud-Lösungen rechtfertigen.

Heutzutage versuchen Unternehmen, komplexe Sicherheitslösungen und -modelle über mehrere Cloud-Lösungen hinweg zu implementieren und zu verwalten.

Wie funktioniert Cloud-Sicherheit?

Cloud-Sicherheit implementiert eine Kombination aus technischen und organisatorischen Maßnahmen, um die Daten und Services eines Unternehmens zu schützen. Je nach Cloud-Angebot können Unternehmen benutzerdefinierte Firewalls oder VPNs bereitstellen, um den Ressourcenzugriff zu kontrollieren und sichere Verbindungen herzustellen. Es gibt einige Gemeinsamkeiten in Bezug auf die Sicherheit zwischen Cloud- und On-Premises-Setups, aber auch erhebliche Unterschiede. Um diese Unterschiede vollständig zu verstehen, ist es hilfreich, die allgemeine Situation im Cloud-Computing-Sektor zu kennen.

Cloud Computing erklärt

Unter Cloud-Computing versteht man den Zugriff auf Computing-Ressourcen über das Internet anstatt eine lokale Infrastruktur zu implementieren und zu warten. Dies ist ein äußerst kosteneffizienter Ansatz, der die Flexibilität und Skalierbarkeit verbessert.

Zu den gängigsten Ansätzen für Cloud Computing gehören:

• Software-as-a-Service (SaaS): Dabei handelt es sich um webbasierte Anwendungen, auf die über einen Browser zugegriffen wird. Über den Browser hinaus wird alles von dem Unternehmen verwaltet, das die Anwendungen bereitstellt, einschließlich der erforderlichen Hardware und Infrastruktur.
• Platform-as-a-Service (PaaS): Bei diesem Cloud-Service handelt es sich um eine Plattform für die Entwicklung, Ausführung und Verwaltung von Anwendungen ohne die Komplexität der zugrunde liegenden Infrastruktur. Das beinhaltet eine vollständige Entwicklungsumgebung zum Erstellen und Bereitstellen von Anwendungen.
• Infrastructure-as-a-Service (IaaS): In diesem Modell können Organisationen ihre Infrastruktur entwerfen und erstellen, auf die über das Internet zugegriffen wird. Dazu gehören benutzerdefinierte Netzwerkkonfigurationen und der Zugriff auf Ressourcen wie virtuelle Maschinen und Datenspeicher.

Angesichts der Allgegenwärtigkeit von Cloud Computing ist es kein Wunder, dass fast jedes Unternehmen mit einem bedeutenden technologischen Fußabdruck einen Multi-Cloud-Ansatz verfolgt. Selbst Unternehmen mit strengen Datenkontrollen und Sicherheitsbedenken implementieren Hybrid-Cloud-Infrastrukturen, indem sie sensible Daten intern vorhalten und weniger sensible Informationen und Workflows in Cloud-Angebote auslagern. Cloudlösungen benötigen weiterhin Updates und Patches, um Schwachstellen zu beseitigen.

Welche Arten von Cloud-Sicherheit gibt es?

Trotz der Vorteile von Cloud Computing müssen Unternehmen beim Umstieg auf eine Cloud-Lösung auch die Auswirkungen auf die Sicherheit berücksichtigen. Anstelle einer lokalen Domänenautorität verwenden Unternehmen beispielsweise Identity and Access Management (IAM)-Tools sowohl für lokale als auch für cloudbasierte Services, indem sie Benutzern digitale Identitäten zuweisen. Diese Identitäten ermöglichen die Überwachung und Einschränkung während der Dateninteraktionen.

Bei den Daten basiert die Cloud-Sicherheit auf Data Loss Prevention (DLP)-Lösungen, um Datenschutzverletzungen durch Warnungen, Verschlüsselung und andere Präventivmaßnahmen zu verhindern. Währenddessen automatisieren SIEM-Systeme (Security Information and Event Management) die Erkennung und Reaktion auf Bedrohungen in Cloud-Umgebungen.

Business-Continuity- und Disaster-Recovery-Lösungen (BCDR) sind entscheidend für eine schnelle Wiederherstellung nach Ausfällen. Sie unterstützen Unternehmen bei der Minimierung von Sicherheitsvorfällen, indem sie eine schnelle Wiederherstellung unternehmenskritischer Systeme gewährleisten. Einige BCDR-Lösungen beinhalten auch Features wie Datensicherung und -replikation sowie Failover-Funktionen zur Minimierung von Ausfallzeiten.

Cloud Computing – Herausforderungen und Risiken

Obwohl die meisten Cloud-Services Best Practices befolgen, sind sie aufgrund der mangelnden Transparenz bei der Datenspeicherung und -verschiebung ein bevorzugtes Ziel für drohende Bedrohungen. Für Unternehmen, die große Datenmengen verarbeiten und übertragen, ist dies neben der Sicherheit von Cloud-Backups eine der größten Herausforderungen.

Zu den weiteren Problemen gehören:

• Zugriffsverwaltung: Im Vergleich zur lokalen Zugriffsverwaltung ist es bei webbasierten Plattformen und SaaS-Angeboten eine Herausforderung, einen konsistenten Zugriff über Benutzer und Geräte hinweg in Multi-Cloud-Umgebungen zu gewährleisten.
• Compliance: Zwar haben sich die Compliance-Anforderungen für alle Cloud-Plattformen verbessert, doch kann es ohne vollständigen, transparenten Zugriff auf Daten in der Cloud schwierig sein, diese Einhaltung sicherzustellen und konsistente Audits bereitzustellen.
• Menschliches Versagen: Cloud-Angebote profitieren von einem eindeutigen Fokus auf die Infrastruktur, diese Services sind jedoch nicht frei von der Gefahr von Fehlkonfigurationen durch menschliches Versagen.

Management der Cloud-Sicherheit und Best Practices

Sie können die Cloud-Sicherheitsverwaltung in zwei Kategorien unterteilen: die technische und die organisatorische. Auf organisatorischer Seite müssen Unternehmen Richtlinien, Verfahren und Notfallplanung überdenken. Währenddessen stehen Unternehmen mit Branchenanforderungen vor Hürden bei der Aufrechterhaltung der Compliance und der Implementierung von Audit-Prozessen. Hilfreich erweisen sich hier etablierte Modelle und Frameworks für den Umgang mit Sicherheit in der Cloud.

Shared Responsibility Model

Das  Shared Responsibility Model legt fest, welche Verantwortung auf Cloud-Serviceprovider bzw. auf Kunden für die Sicherung von Cloud-Ressourcen entfällt. Bei diesem Modell ist der Cloud-Serviceprovider für die Sicherheit der zugrunde liegenden Infrastruktur verantwortlich. Der Kunde hingegen ist für die Sicherheit seiner Anwendungen und Daten in der Infrastruktur verantwortlich.

Shared Responsibility ist zwar ein beliebtes Sicherheitsframework, aber die Implementierung unterscheidet sich von Provider zu Provider. Eine Vorstellung davon erhalten Sie beim AWS Shared Responsibility Model.

Das Zero-Trust-Konzept

Herkömmliche Sicherheitsmodelle fungieren sozusagen als „Zaun“, der den Zugriff auf Ressourcen innerhalb seiner Grenzen regelt. Der Zero-Trust-Ansatz hingegen geht davon aus, dass der Perimeter immer verletzt wird und legt den Fokus auf die Sicherung einzelner Ressourcen.

Dieser Alles-oder-Nichts-Ansatz ist vor allem in Cloud-Computing-Umgebungen von großer Bedeutung, da Unternehmen damit den Zugriff auf Ressourcen sichern können – unabhängig davon, wo und wie diese implementiert sind und auf welche Art und Weise zugegriffen wird. Unabhängig davon, ob es sich um eine SaaS-Anwendung oder unternehmenskritische Workloads in einer VMware-Umgebung handelt – der Ansatz ist im Allgemeinen derselbe.

Grundpfeiler einer starken Cloud-Sicherheitsstrategie

Obwohl sich die Sicherheitsanforderungen jedes Unternehmens je nach den verwendeten Daten und Technologien unterscheiden, gibt es Frameworks, die ein Sicherheitsniveau gewährleisten, auf dem Sie aufbauen können. Das National Institute of Standards and Technology (NIST) hat eine Bewertung entwickelt, die Unternehmen bei der Evaluierung von Sicherheitsmaßnahmen sowohl bei der Prävention als auch bei der Wiederherstellung unterstützt. Diese Bewertung stützt sich auf die fünf Säulen der Cybersicherheit des NIST: Identifizieren, schützen, erkennen, reagieren und wiederherstellen.

Auswahl der richtigen Lösung

Die Herangehensweise an die Untersuchung von Cloud-Lösungen sollte wie folgt ablaufen:

1. Identifizieren Sie die Sicherheitsanforderungen: Bevor Sie sich für eine Lösung entscheiden, müssen Sie unbedingt die Sicherheitsanforderungen des Unternehmens ermitteln, einschließlich der Arten von Ressourcen, die geschützt werden müssen, sowie Vorschriften und Compliance-Anforderungen.
2. Shared Responsibility: Zu verstehen, wie die geteilte Verantwortung für jeden einzelnen Cloud-Service gilt,, unterstützt das Unternehmen dabei, einen geeigneten Ansatz zu entwickeln.
3. Berücksichtigen Sie das Bereitstellungsmodell: Ob ein Unternehmen bei der Bereitstellung ein öffentliches, privates oder hybrides Konzept verfolgt, beeinflusst die Wahl des Cloud-Serviceproviders.
4. Suchen Sie nach Integrationen: Unternehmen müssen sicherstellen, dass bestehende Sicherheitslösungen mit Cloud-Providern kompatibel sind, einschließlich Lösungen für Netzwerk-Monitoring-Tools und Datenredundanz.
5. Berücksichtigen Sie Skalierbarkeit und Flexibilität: Unternehmen müssen sicherstellen, dass die bereitgestellten Ressourcen flexibel und skalierbar sind und leicht an sich ändernde Sicherheitsanforderungen angepasst werden können.

Unternehmen, die Amazon Web Services (AWS), Microsoft Azure oder die Google Cloud nutzen, können sich die jeweiligen Sicherheitsplattformen der einzelnen Provider ansehen. Der AWS Security Hub, das Azure Security Center und das Google Cloud Security Command Center bieten jeweils einen zentralen Ort für die Automatisierung und das Management der Sicherheit über mehrere Cloud-Bereitstellungen hinweg.

Jetzt starten

Die Wahl einer Cloud-Sicherheitslösung kann so komplex sein wie die Wahl eines Cloud-Providers. Aufgrund der Vielzahl verfügbarer Lösungen und der individuellen Anforderungen jedes Unternehmens gibt es kein Patentrezept. Es ist wichtig, dass Unternehmen, die auf die Cloud umsteigen, jeden Aspekt ihrer bestehenden Sicherheits- und Datenschutzstrategien sorgfältig prüfen.

Während die standardmäßigen Sicherheitsangebote mit AWS und Azure für einige Unternehmen funktionieren, werden viele andere feststellen, dass sie zusätzliche Lösungen benötigen, um ihren Ansatz zu erweitern. In der Welt des Cloud-Computings machen Cloud-Backup-Lösungen für sensible Kundendaten oder Ransomware-Schutz zum Schließen von Sicherheitslücken große Unterschiede.